有關“處理程序已啟動”事件的資訊

顯示“處理程序已啟動”事件資訊的視窗包含以下詳情：

• 事件樹。
• 處理事件時可以執行的動作。
• 處理程序已啟動部分：
  • IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。

    點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。

    MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。

    如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。

  • 檔案— 處理程序檔名。
  • 處理程序 ID— 處理程序標識符。
  • 啟動參數— 處理程序啟動設定。

    如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 記錄在事件資料庫中而不是啟動參數欄位中，則顯示命令欄位，即用於運行處理程序的命令。

  • 目前目錄— 處理程序的目前目錄
  • MD5— 處理程序檔案的 MD5 雜湊。
  • SHA256— 處理程序檔案的 MD5 雜湊。
  • 大小— 處理程序檔案的大小。
  • 檔案類型— 處理程序檔案的類型。
  • 事件時間 — 處理程序啟動時間。
  • 屬性修改時間— 處理程序檔案屬性改變的時間。
  • 建立時間— 處理程序檔案的建立時間。
  • 修改時間— 處理程序檔案的上次修改時間。
• 詳細資訊部分：
  • 應用程式名稱— 例如，作業系統的名稱。
  • 供應者— 例如，作業系統的供應商。
  • 檔案描述— 例如，範例檔案。
  • 原始檔案名稱— 例如，ExampleFile.exe。
  • 簽章主旨— 核發檔案數位憑證的組織。
  • 簽章驗證結果— 例如，“無效”或“正常”。
  • 屬性— 依 Windows 分類的檔案屬性。例如，A（壓縮檔案）、D（目錄）或 S（系統檔案）。

  如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 記錄在事件資料庫中，則詳細資訊部分還包括以下欄位：

  • 屬性— 處理程序檔的屬性。
  • 處理程序類型— 例如，exec。
  • 環境變量— 處理程序的環境變數。
  • 真实使用者名稱— 在系統中註冊時指定的使用者名稱。
  • 真实群組名稱— 使用者所屬的群組。
  • 有效使用者名稱— 用於登入系統的使用者名稱。
  • 有效群組名稱— 名稱被用於登入系統的使用者群組。
  • 所有者使用者名稱— 建立了處理程序檔案的使用者的名稱。
  • 所有者群組名稱— 其使用者可以修改或刪除處理程序檔案的群組的名稱。
  • 檔案允許的功能— 可用於存取處理程序檔案的權限。如果事件由 Kaspersky Endpoint Security for Mac 記錄，則此欄位不會顯示。
  • 檔案可繼承功能— 使用者群組對處理程序檔案的父目錄執行操作的權限。如果事件由 Kaspersky Endpoint Security for Mac 記錄，則此欄位不會顯示。
  • 檔案有效能力— 目前與流程檔案相關的權限。如果事件由 Kaspersky Endpoint Security for Mac 記錄，則此欄位不會顯示。
  • 從 URL 下載— 下載處理程序檔案的 URL。
  • 來源— 取得處理程序檔案的訊息的中繼資料。
  • 帳戶屬性— 執行處理程序的使用者帳戶的標誌。
  • 處理程序建立標誌— 處理程序建立標誌。
  • 符號連接— 符號連結的路徑。
  • 調用跟蹤— 呼叫堆疊。
• 事件發起者部分：
  • 檔案— 父處理程序檔案的路徑。
  • 處理程序 ID— 父處理程序的識別碼。
  • 啟動參數— 父處理程序啟動設定。

    如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 記錄在事件資料庫中而不是啟動參數欄位中，則顯示命令欄位，即用於運行父處理程序的命令。

  • MD5— 父處理程序檔案的 MD5 雜湊。
  • SHA256— 父處理程序檔案的 SHA256 雜湊。
• 系統資訊部分：
  • 主機名稱— 啟動了處理程序的主機的名稱。
  • 主機 IP— 啟動了處理程序的主機的 IP 位址。

    如果您使用動態 IP 位址，該欄位會顯示建立事件時指派給主機的 IP 位址。

    該應用程式不支援 IPv6。如果您使用 IPv6，則不會顯示主機的 IP 位址。

  • 使用者帳戶類型— 執行處理程序的帳戶的類型。例如，管理員。
  • 登入類型— 例如，使用正在執行的服務。
  • 使用者名稱— 啟動該處理程序的使用者的名稱。
  • 作業係統版本— 主機上正在使用的作業系統的版本。

    如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 記錄在事件資料庫中，則系統資訊部分還顯示從其執行遠端登入的主機名稱的從遠端主機登入欄位。

點擊具有檔案名稱或檔案路徑的連結將開啟一個清單，您可以在其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 執行以下工作：
  • 殺死處理程序。
  • 使用唯一的 PID 殺死處理程序。
  • 刪除檔案。
  • 獲取檔案。
  • 進行取證。
  • 隔離檔案。
• 複製值到剪貼簿。

在 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 在事件資料庫中記錄的事件資訊中，您可以點擊包含檔案名稱或檔案路徑的連結以開啟一個清單，您可以在其中選擇以下操作之一:

• 尋找事件。
• 尋找警示。
• 運行獲取檔案工作。
• 複製值到剪貼簿。

點擊具有主機名稱的連結將開啟一個清單，您可以從其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 執行以下工作：
  • 獲取資料 → 檔案、取證、磁碟鏡像、記憶體傾印。
  • 殺死處理程序。
  • 刪除檔案。
  • 隔離檔案。
  • 執行應用程式。
• 複製值到剪貼簿。

在事件資料庫中記錄的 Kaspersky Endpoint Security for Linux 事件資訊中，您可以點擊主機名稱連結開啟一個清單，您可以在其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 執行以下工作：
  • 殺死處理程序。
  • 刪除檔案。
  • 獲取檔案。
  • 隔離檔案。
  • 執行應用程式。
• 複製值到剪貼簿。

在事件資料庫中記錄的 Kaspersky Endpoint Security for Mac 事件資訊中，您可以點擊帶有檔案名稱或檔案路徑的連結來開啟一個清單，您可以在其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 運行獲取檔案工作。
• 複製值到剪貼簿。

點擊MD5連結將開啟一個清單，您可以從其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 在 Kaspersky TIP 上尋找。

  卡巴斯基資訊系統包含並顯示檔案和 URL 位址的信譽資訊。

• 在儲存中尋找。
• 建立阻止規則。
• 複製值到剪貼簿。

點擊SHA256連結將開啟一個清單，您可以從其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 在 Kaspersky TIP 上尋找。
• 在 virustotal.com 上尋找。
• 在儲存中尋找。
• 建立阻止規則。
• 複製值到剪貼簿。

另請參閱 事件資訊 事件處理建議 有關事件樹中事件的資訊 檢視事件表 配置事件表顯示 檢視有關事件的資訊 有關“處理程序已終止”事件的資訊 有關“模組已載入”事件的資訊 有關“遠端連線”事件的資訊 “防禦規則”事件資訊 有關“文件被封鎖”事件的資訊 有關“檔案已修改”事件的資訊 有關“系統事件日誌”事件的資訊 有關“登錄檔變更”事件的資訊 有關“連接埠被偵聽”事件的資訊 有關“驅動程式已載入”事件的資訊 有關“DNS”事件的資訊 有關“LDAP”事件的資訊 有關“命名管道”事件的資訊 有關“WMI”事件的資訊 有關“偵測”事件的資訊 有關“偵測處理結果”事件的資訊 有關“被解釋檔案運行”事件的資訊 有關“AMSI 掃描”事件的資訊 有關“在主控台進行互動式命令輸入”事件的資訊 有關“代碼注入”事件的資訊 有關“處理程序存取”事件的資訊 關於“USB 裝置”事件的資訊

頁面頂部